Morrisons因违反集体诉讼数据而失去上诉

2018年10月22日,连锁超市Morrisons对 高等法院裁决 对于因数据泄露导致数千名员工的个人数据在线发布而承担的责任。可以找到上诉法院(CoA)的判决 这里.

在公司员工安德鲁·斯凯尔顿(Andrew Skelton)窃取了包括近100,000名员工的薪资信息(包括姓名,地址,银行帐户详细信息和薪水)后,超过5,000名Morrisons员工在高等法院提起了集体诉讼。高等法院的裁决 这里)。

莫里森(Morrisons)认为,斯凯尔顿(Skelton)的行为与责任不充分相关,因为他在自己的家中,个人计算机上以及在他窃取个人数据几周后才对该行为负责。 CoA拒绝了这一要求,而不是认为Skelton先生的行为属于Morrisons的“活动范围内”,并且发生了一系列不间断的事件,将他作为雇员的角色与个人数据的披露联系在一起。 。

CoA还拒绝了Morrisons的论点,即Skelton先生的动机是伤害其雇主,而不是以某种方式使自己受益或对第三方造成伤害,因此他不承担任何责任。因此,CoA的所有三名法官都同意高等法院的意见,即Morrisons对数据泄露负有责任。

继续阅读

乐购银行因网络安全故障被罚款1,640万英镑

英国金融行为监管局(FCA)于上个月初宣布,由于两年前发生的一次网络攻击,已对Tesco银行处以1,640万英镑的罚款。

2016年11月,特易购银行的8,261个个人往来账户被盗。攻击者获得了客户的借记卡详细信息,并进行了数千次未经授权的交易。

这是FCA首次对英国银行实施的与网络攻击有关的罚款。由于乐购银行同意尽早达成和解,进行合作并补偿客户,因此从最初的罚款草案2350万英镑中减少了罚款。

FCA的最终通知

FCA在其调查结果中列出了调查结果和执行措施 最终通知 日期为2018年10月1日。

罚款的依据是,乐购银行违反了FCA的第二条规定 经营原则,这规定公司必须以适当的技巧,谨慎和勤奋来开展业务。

FCA执法总监Mark Steward表示,FCA“对无法保护客户免受可预见风险的银行不容忍”。

FCA批评Tesco银行,称网络攻击“在很大程度上可以避免”。乐购银行未能以应有的技巧,谨慎和勤奋开展业务的原因包括:

  • 发行具有连续卡号的借记卡,这意味着黑客可以更轻松地计算出活动卡的详细信息;
  • 将其授权系统配置为仅检查卡的到期日期,而不检查日期是否正确;
  • 采取措施阻止其信用卡的特定类型的欺诈交易,但未对其借记卡进行相同的操作;和
  • 对攻击没有足够的“严谨,技巧和紧迫性”做出回应。这是因为Tesco银行无效地与其欺诈策略小组联系,这与程序相反,使用了错误的代码来阻止未经授权的交易,并且未能监控规则的运行,因此注意到该代码无法正常工作。

最终通知以承认乐购银行(Tesco Bank)的网络犯罪框架为适当的结论而告终,但实际上,银行中的个人未能行使所需的适当技能,谨慎和勤奋。

此后,乐购银行已改变了发行方式,不再发行具有连续卡号的卡。它还更改了其授权系统,现在检查有效期是否正确。

继续阅读

面向消费者的新交易:EDPS发布意见

欧洲数据保护主管(EDPS)发布了 意见 关于欧盟委员会的立法方案,于2018年10月5日“消费者新政”。在意见中,EDPS要求在欧盟的消费者和数据保护规则之间进行更紧密的协调。

背景

今年早些时候通过的委员会一揽子计划包括两项立法提案:

(1)个 指示 更好地执行和现代化欧盟消费者保护规则;和

(2)个 指示 关于保护消费者集体利益的代表诉讼。

该软件包的目的是使现有规则现代化,并为消费者提供更好的赔偿机会。

继续阅读

英国政府发布物联网安全行为准则

英国政府已经启动了一项 实务守则 (CoP)用于物联网(IoT)安全。这样做的目的是提高基准安全性,并确保处理个人数据的设备符合通用数据保护法规(GDPR)的要求,并推进行业范围内的“设计安全”方法。

CoP为物联网制造商和行业利益相关者提供了注重结果的实际步骤,以提高其产品的安全性。为此,它专门确定了 十三条准则 它认为对保护IoT设备至关重要:

  1. 没有默认密码 –所有物联网设备密码均应唯一,并且不可重置为通用出厂默认值。
  2. 实施漏洞披露政策 –提供物联网设备和服务的公司应提供公共联系点作为漏洞披露政策的一部分,以使问题得以报告。所披露的漏洞应“及时”采取行动。
  3. 保持软件更新 –更新应该及时,并且不应该影响设备的功能,并且消费者应该明确其需求。
  4. 安全地存储凭据和安全敏感的数据 –凭据必须安全地存储在服务和设备中。设备软件中的硬编码凭证是不可接受的。
  5. 安全沟通 –对安全敏感的数据应进行加密,并对所有密钥进行安全管理。
  6. 最小化暴露的攻击面 –设备和服务应遵循“最低特权”原则运行。
  7. 确保软件完整性 –应该使用安全启动机制来验证软件。
  8. 确保个人数据受到保护 –个人数据应根据GDPR和《 2018年数据保护法》得到保护。
  9. 使系统具有抗故障能力 –弹性应内置在物联网设备中。
  10. 监控系统遥测数据 –应当监测遥测数据的安全异常。
  11. 使设备易于消费者删除个人数据 –应配置设备,以便个人可以轻松地从中删除其个人数据。
  12. 简化设备的安装和维护 –这应采用最少的步骤并应遵循安全最佳实践。应该为消费者提供有关如何安全设置设备的指导。
  13. 验证输入数据 –必须验证通过用户界面输入并通过应用程序编程接口(API)或在服务和设备网络之间传输的数据。

继续阅读

英国政府启动智能数据审查

英国政府启动了 Smart 数据Review 于2018年9月28日(审查)。该评论将研究如何使用技术(例如在线比较工具和开放式银行业务)使消费者更轻松地获得基本服务的优惠交易,并终结消费者因坚持使用服务而支付不合理的“忠诚度罚款”提供者而不是交换。

审查背景

政府的 现代化消费市场 绿皮书强调了消费者在金融服务,能源和电信等监管市场中所面临的挑战。它认识到,消费者经常难以在基本服务合同上保持领先,发现很难找到最佳交易,并且最终由于不切换而付出了更多。

这些挑战已经通过 “超级投诉” 在《评论》发布的同一天,由英国消费者监管机构Citizens Advice向竞争与市场管理局(CMA)提交了该文件。该投诉估计,仍忠于这些市场中服务提供商的消费者每年将为此付出41亿英镑的成本。易受伤害,收入较低且受教育程度较低的消费者不成比例地支付了该罚款,他们没有意识到自己因其忠诚度而受到惩罚,并且在货比三家时面临障碍。 CMA现在将对投诉进行调查,并在发布回应之前与FCA和Ofcom等相关监管机构进行接触。

关于《评论》,政府认识到自动开关服务和公用事业管理服务等新技术有潜力解决消费者在管制市场中面临的许多问题。但是,这些创新的中间服务需要访问客户数据,这些数据通常以不利于消费者和创新者的方式被锁定。例如,这些服务的开发可能会因难以访问有关消费者当前关税,其使用情况和其他标准格式的交易的数据而受到限制。

继续阅读

德国:柏林法院裁定,比特币不是一种违反金融监管机构惯例的金融工具

德国的监管惯例一直将比特币视为一个帐户单位,因此是一种金融工具。因此,涉及比特币和其他加密货币的商业服务(包括交易,经纪,经营交易所,投资咨询)是受监管的活动,需要获得德国金融监管局(BundesanstaltfürFinanzdienstleistungsaufsicht或BaFin)的相关授权。柏林高级区域法院于2018年9月25日裁定,比特币不是金融工具,比特币交易平台的运营也不是受监管的活动。但是,应谨慎行事:法院的裁决对BaFin不具有约束力。要了解有关该案件以及下一步的更多信息,请单击 这里.

加密资产监管的曙光

上个月(2018年9月),下议院财政委员会发布了 报告 询问有关加密资产的法规。该调查除其他主题外,考察了数字货币在英国的作用;分布式分类账(区块链)技术的影响;以及如何进行监管。该报告建议对消费者和反洗钱保护进行改进(反洗钱)处理加密资产时。改进将部分通过扩展2000年《金融服务和市场法(管制活动)令》()加密资产和相关活动。

“加密资产”,而不是“加密货币”

作为协议的要点,该报告使用术语“加密资产”而不是更常用的“加密货币”,因为它们没有证明常规货币的功能,例如交换媒介或价值存储。

加密资产担忧

该报告还指出了加密资产的许多固有问题。与传统法定货币相比,它确定了由于加密资产市场波动而导致的投资固有风险。与此相关的是,鉴于交易所目前位于市场滥用法规之外,因此加密资产容易受到市场操纵。

黑客攻击的范围也越来越大,不可避免地会导致加密资产被盗。委员会建议,由于缺乏黑客以补偿投资者的存款保险计划(如英国金融服务补偿计划),加剧了此类风险。投资者本身也造成了损失,特别是在密码丢失并因此被禁止访问交易所的地方。

委员会认为,发起人的不负责任的性质使投资者和消费者进一步失望,发起人的广告常常令人误解(在某些情况下,最初的代币发行使用名人来宣传发行)。金融行为监管局(FCA)对此无能为力,因为加密资产很容易(!)不在其职权范围之内。

人们广泛认为,加密资产平台为洗钱和其他犯罪企业提供了机会,因为交易所允许匿名访问,并且不受AML法规的约束。

缺乏安全的监管环境可以为投资者和消费者提供足够的保障,从而支撑了上述每项担忧。

继续阅读

加州通过新法规推行物联网数据安全法规

加利福尼亚州颁布了物联网(IoT)立法,旨在帮助保护消费者的隐私和安全,防止潜在的被连接设备被黑客入侵。根据可能适用于加利福尼亚州出售的任何连接设备的州法律,要求连接设备的制造商为设备配备适合于设备性质和设备处理信息的安全选项。立法的目的是保护消费者,同时适应不同的产品和行业。该法律还包括几个重要的例外。例如,可能不需要联邦法律规定的设备遵守该州法律。即使加利福尼亚州法律要到2020年1月才生效,但必须遵守新要求的公司应立即采取措施,以确保在设计阶段将适当的安全措施内置到设备中,以免进行昂贵的重新开发和/或“停产”。开启”安全功能。

进一步了解我们发布的客户警报 这里.

ECtHR关于RIPA下的英国大规模监视的规则

2018年9月13日,欧洲人权法院(ECtHR)在 Big Brother Watch 和 others v.United Kingdom(申请号58170 / 13、62322 / 14和24960/15)[2018] ECHR 722.

该判决是针对英国的首例大规模电子监视案,涉及批量拦截通信的比例问题。这项裁决是在对英国的间谍权力进行长期挑战之后结束的,最初由爱德华·斯诺登(Edward Snowden)在2013年揭露。欧洲人权法院认为,这些规则为英国提供了进行大规模监视的能力,侵犯了隐私权和表达。

判决既漫长又复杂,在这里将其完整地总结是不公平的。但是,简而言之,法官们得出了一些关键结论。

继续阅读

ICO针对未支付新数据保护费的组织采取行动

2018年9月26日,信息专员办公室 (ICO)开始正式的执法行动 针对34家未能支付数据保护费的组织。意向通知已送达私营和公共部门组织,包括NHS,政府组织以及招聘,财务和会计方面的企业。他们必须在2018年10月17日之前做出回应。那些不支付的人将面临最高4,350英镑的罚款。

数据保护费是由《 2018年数据保护(收费和信息)条例》引入的。该条例与《通用数据保护条例》同时生效(请参阅我们之前关于此的博客) 这里)。数据保护费的收入用于资助ICO。费用参考 三层。微型组织必须支付40英镑;中小型组织支付60英镑;大型组织则需支付2,900英镑。

继续阅读

LexBlog